Порталы «Новый Калининград.Ru» и «Клопс.Ru» оказались под угрозой блокировки из-за уязвимости в механизме мониторинга и блокировки сайтов, созданного Роскомнадзором. Хозяин заблокированного сайта igradom.net ввёл в DNS IP-адреса порталов, сообщил в пятницу хостинг-провайдер, которым пользуется редакция «Нового Калининграда.Ru».
В техническом отделе «Нового Калининграда.Ru» пояснили, что проблемы с доступом к сайту могут начаться после того, как информация о добавлении IP-адреса издания в DNS сайта-злоумышленника поступит к провайдерам. После этого, в случае проблем, доступ к «Новому Калининграду.Ru» и другим сайтам, столкнувшимся с этой проблемой, будет возможен при помощи VPN и анонимайзеров — в Госдуму поступил законопроект об их запрете, но до его принятия этот метод легален.
Ранее стало известно, что многие пользователи в России столкнулись с недоступностью мессенджера Telegram после того, как владелец домена dymoff.space, заблокированного Роскомнадзором, добавил в DNS IP-адреса Telegram. Это привело к тому, что провайдеры начали блокировать эти адреса. Подобная возможность появилась благодаря механизму, используемому Роскомнадзором — технически владелец любого заблокированного государством ресурса может заблокировать иные сайты, никоим образом не находящиеся под санкциями.
Позднее Роскомнадзор разослал российским провайдерам список сайтов, которые блокировать нельзя. В него вошли сайты госструктур, поисковики Google и «Яндекс», почтовая система Mail.ru, видеохостинг YouTube и веб-сервис для хостинга IT-проектов Github, соцсети Facebook, «ВКонтакте», «Одноклассники», Twitter и Instagram, а также всего три СМИ — «Российская газета», «Парламентская газета» и «Лента.Ru».
Комментарии
Я уже неделю раздумываю - а не прикупить ли забаненый домен, и не прописать ли в него адреса сайтов конкурентов...
Адрес роскомнадзора пропиши
Лентавру, значит, неприкасаемая.. эхе-хе.. Кто у нас там роскомнадзор-то курирует? Покажите нам его фото..
Ну, так себе анекдот.
Роскомнадзор уже работает над этим .Раньше нас малышей заставляли блокировать и жестко ревизором курировали,а вчера письмо от них пришло,чтобы мы малыши по возможности заключили договора с вышестоящими операторами о блокировке.Будут скорее всего на уровне крупняка что-решать.
Что? Система блокировки по IP принципиально уязвима для такой атаки. Это был лишь вопрос времени, когда это произойдет. Кроме белых списков роскомпозор ничего придумать не смог.
вот тогда смогут пригодиться дирижабли от гугла или спутниковая группа от маска
а то рассуждают тут - нахуа?
а вот зачем - нести гласность в гнездо мордора
Да сегодня вообще караул на сетях творился ;) Сейчас вот Сбер упал с парочкой банков.
Внести в список ДНС роскомнадзора - вот это хохма будет!
За что их так хотят "забанить"? сейчас почитал, посмотрел ничего криминального там нет или это такая раскрутка помянутого ресурса?
Владелец доменного имени может прописать на своих DNS серверах то, чего ему будет угодно. Любые адреса.
Сам потратил 100 рублей (эхъ, месяц назад было по 79) чтобы купить "заблокированный судом навечно" домен :) 5 минут на скрипт проверки доменов по whois - и готово - свежекупленный заблокированный 3 года назад домен - мой (точнее того чувака, что выкладывает сканы паспорта в интернет, но это не важно). Запретить регистрировать такие домены наши законотворцы ещё не догадались :)
Сам принцип "блокировок" глубоко порочен и технически маразматичен. Дополнительно хотят начать наказывать за "ковыряния в носу" - за использование способов обхода блокировок.
Что является ещё большим маразмом и техническим онанизмом :)
Ася -ся-ся? НИЗЗЗЗЯЯЯ! Забыли уже? Ну так вспомним. Отрицательная селекция во власть не только в США.
Если честно то ручное управление от солнцеликого достало. Конечно у мелочи нет ресурсов по железу блокировать всех, крупняку легче. Но НЕ ТАК нужно бороться за привлечение внимания. По большому счету, мне, обывателю, пока наплевать. На рутрекр захожу, кинчики раз в полгода в количестве штук 10 закачиваю, потому как об онлайнтрешак глаза ломать не хочу. Закроют совсем- не сильно огорчусь, возьму мотыля и пойду...
Подход к проблеме бесит. И да, гугл пора давно забанить. Равно как и гуглхром
То ли ещё будет... Вряд ли можно ожидать чего-нибудь хорошего от этих гуманоидов с плавленным мозгом и липкими руками
Блин, ну что же так костыляво то, так до белых листов дойдут. А когда нибудь допрут что можно заблочить 53 порт и всех клиентов обязать пользоваться гос. nameserver'ом
Наш DNS — 127.0.0.1!
Тут не стоит задача сделать это невозможным, задача снизить малой ценой по максимуму посещения оных ресурсов, всегда будут профи и хацкеры которые вычислят вас по айпи и пошлют луч диареи. И в конце концов, чем более продвинутые будут у нас люди в плане компьютера тем лучше, можно вообще использовать "запретный плод" в целях просвещения населения.
Будете смеяться, но РКН его уже блокировал.
Наш провайдер трафик на 53 порт перехватывает успешно :)
Спасает DNSCrypt - спасибо D.J.Bernstein'у за его Curve25519 и Яндексу за открытые сервера :)
Умнички, а что за провайдер?
ДомРу не к ночи будет помянут. Причём был то вестколл но его у нас прикупили домушники. Счастье пришло незаметно :)
Да, красота, а как $ traceroute 8.8.4.4 выглядит?
З.Ы. загуглил если есть у гугла днс на не стандартном порту, ответ - нету... Сейчас еще подумаю
З.Ы.Ы.
openDNS дает сервис на альтернативном порту, попробуйте пожалуйста, интересно отработает или нет...
$ dig -p 5353 a rutracker.org @208.67.222.222
Другой порт работает нормально. Правила перехвата, видимо, только на 53 порт пока. Но не стал бы на это надеяться :)
Левых пакетов нет (как у весткола с фильтрацией было) - wireshark всё красиво показывает. Только ответ слишком быстро "готов".
Я даже думаю что там не конкретно на 53 порт, а именно на <IP>:53 всех публичных DNS типа 8.8.8.8, интересно было бы помучать их через telnet 8.8.8.8 53 =) а вдруг криво написан перехват и можно сплойтик замутить, вообще проверить легко, можно VM поднять на амазоне к примеру и слушать на порту 53 какой нибудь nodejs, а потом телнетом попытаться туда пробиться, тогда 100% ясно будет. Скоро поеду в РФ, поиграюсь.
Я проверял на своём серваке на хецнере (явно не публичный). Запрос приходит - ответ "правильный" уходит, но доходит уже "неправильный".
Если слать запрос на несуществующий сервер - типа 1.2.3.4 - ответа не будет.
Если слать на нерекурсивный сервер - вроде g.root-servers.net то вместо ошибки приходит "левая" A запись. То есть они правят ответы, в которых есть заблокированные домены.
Нашёл таки что был не прав :)
Углядел дополнительные пакеты в ответах на днс запрос (ответ не исправляется а инжектируется ложный ответ до прихода настоящего).
Ложные днс ответы убились фаерволом:
iptables -A INPUT -i eth1 -m u32 --u32 "2&0xffff=0xd431 && 6&0xffff=0x7a11 && 18&0xffff=53" -j DROP
iptables -A FORWARD -i eth1 -m u32 --u32 "2&0xffff=0xd431 && 6&0xffff=0x7a11 && 18&0xffff=53" -j DROP
(udp пакеты с 53 порта и фиксироваными id пакетов)
Не прошло и пары недель, как обсуждали отход Бжезинского и кандидатов на вылет вслед за ним, как Маккейн резко перекинулся к Трампу ))
Ой, прям схема и «мы все умрём»... Обяжут операторов использовать только DPI для блокировки, и всех делов.
И правда, зачем блочить https?
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Интересен будет опыт страны 404, как скоро додумаются о запрете прокси и впн, а главное как бороться будут :)
вот! вот что мне напомнили эти танцы с бубном: мы теперь филиальчик 404. Дожили.
А ведь умные люди давно предупреждали: политика Путина превращает Россию в руину.
А до вас только сегодня дошло...
Ну что вы! Совсем наоборот!
"Интересен будет опыт страны 404, как скоро додумаются о запрете прокси и впн, а главное как бороться будут "
На сегодняшний день - опера просылает всех через амстердам, опера мини на смарте - наше всё. Есть ещё обоюдоострый ТОР... но это такое.
куча народу с сервисами майл.ру и яндекса тупо не могут включить комп, эти сервисы в автостарте сжирают всё процессорное время на 10-15 минут, пока провайдеры перенаправляют. Паблик ДНС помогают только пока с Яндексдисками и картами.
Проблема абсолютно в другом. Появился шейп, вдруг из свободного инета все превратилось в цензуру. Ссылку друга из фейсбука на статью из UCOZ.ru приходится открывать в ТОР, проблема неоткрытых ссылок и файлов напоминает чехарду в госучереждениях. В принципе это не проблема поколения, сидевшего на DIAL-UP, но жутко неудобно и временно-затратно. Платный ВПН решит, конечно проблему, но мозг устроен так, что думать лень, большинство пойдут кратчайшим путём, тупо подчиниться.
Первое, что бросилось в глаза - переход из соц сетей в обычные мессенджеры типа вайбера, тем более, что он распостранен и использовался вторичным каналом общения, сейчас он первый.
В теории одним указом можно перенаправить ВЕСЬ трафик через один шлюз. В реале же нужно будет открыть окошки Овертона, но смысл тот же.
P.S. Старые добрые "охотники на лис" будут востребованы, чтобы передать письмецо любимой за тридевять земель.
...ииии? Вы намекаете, что кто-то "сверху" специально переводит организацию толпы со стационарных устройств на мобильные? Вы хотите сказать, что "наверху" активно готовят массовые скакания?
Нет, конечно. Раньше ты думал КУДА пойти, то сейчас думаешь КАК пойти. Для основной массы будет стрелочка БЫЛО - СТАЛО. Цифровой концлагерь во всей красе! Причём с окошками. Интернет будет разделён, причём очень-очень скоро. Надо всего-лишь пару указов да тройку приказов. События и у вас и у нас это лишь только подтверждают. Кстати в новостном плане уже сейчас разделён.
П.С. Пишу я не с Амстердама, если чё.
У кого это "у нас"? Я в Москве сижу, есличо.
И интернеты разделены с момента их основания, шеф! (С)
Велкам ту реал ворлд.
Яндекс видимо активно занялся борьбой с украинским фаерволом :)
В его dns обнаружился домен z5h64q92x9.net - похоже этот домен "переводчиком яндекс" прикидывается - заодно и проксёй к сервисам яндекса как минимум..
Только по whois он уже с августа 2014 года зарегистрирован. А DNSCrypt в я.браузер давно встроен :)
Если кому надо неблокируемый сайт (например, фригейт выложить), можно зарегистрировать google.space. Он в белом списке и не занят.
изменить маску с *.google.* на *.google.com дело 5 минут...
И отвалится google.ru, google.de, google.kz, ....
Почитал новости Роскомпозора
7 июня - свалили с больной головы на здоровую (операторов связи), попутно выдумав новый термин "некорректный DNS резолвинг".
8 июня - Роскомнадзор провел уроки информационной безопасности для школьников.
9 июня - Завершены мероприятия по оценке качества услуг сотовой связи в городах Кубка конфедераций FIFA 2017
Весь интернет обсуждает начавшуюся волну произвольных блокировок, а роскомпозор рассказывает про уроки безопасности для школьников. Эту организацию нужно упразднить, а её участникам запретить подходить к компьютерам лет на 10.
Дьявол - зло. РКН - абсолютное зло. Не поминайте РКН в суе.
Вам Роскомнадзор отключил Вконтакте и вы мучились всю ночь в диких корчах и кошмарах? Поведайте нам свою жуткую историю которая приключилась с вами. (очень увлекательно слушать страшные истории) .Представляю как это должно быть захватывающе -свобода яростно бурлит ключом(требует статей от Newsweek,демотиваторов на Медведева и репостов) ,а её клятый Мордор рушит диктаторскими заклинаниями.
Толлинг незачётный, потому что не смешной. Речь не о корчах, а о цензуре. Хочешь жить в концлагере - приезжай к нам. Свою-то страну зачем говнять?
А я грешна :-( каюсь :-( очень много и быстро читаю, скачиваю бесплатно :-( ибо при моей средней зп книжек в нужном колве ненапокупаешься :-(
Надеюсь на умных, которые смогут обойти блокировки :-( посыпаю голову пеплом за воровство книжек :-( но делать это перестанут только тогда, когда книжка будет стоить рублей 20-30. Согласна на любое кол-во рекламы в книгах и принудительный просмотр длительной рекламы перед скачкой книги
Пока сделать зеркало той же флибусты это минут 15 "по инструкции" :)
Московские сервера без фильтрации трафика - за 70 рублей в месяц прикупил на год - да и хецнер с опенвпн помогают :)
route add rutracker.org gw 10.13 :)
А за DNS приходится ходить через прокси DNS-Сrypt от Яндекса (спасибо перехвату трафика на 53 порт от ДомРу, сидящего на магистрали) :)